Il registrar TLD come indicato all’articolo 6 della direttiva (UE) 2022/2555 cioè NIS2, è l’entità a cui è stato delegato un determinato dominio di primo livello (TLD) e che ne gestisce l’amministrazione. Tale soggetto rientra nel campo di applicazione della NIS2 e è classificato come “entità essenziale” ai sensi della direttiva, e pertanto soggette agli obblighi di sicurezza e vigilanza previsti.
Indice degli argomenti
Registrar TLD e NIS2: responsabilità
L’articolo 28 della direttiva NIS2 introduce un obbligo di accuratezza dei dati relativi alla registrazione dei nomi a dominio e ai rispettivi titolari. Tali informazioni devono essere fornite, su richiesta, ai soggetti legittimati ad accedervi (“legittimi richiedenti l’accesso”) e l’obbligo riguarda non solo i registrar dei TLD, ma anche i registry, i rivenditori e i fornitori di servizi di privacy o proxy operanti in Europa.
Sebbene la direttiva si applichi formalmente all’Unione Europea, il suo impatto non si limita al territorio di stabilimento delle entità coinvolte. Rientrano infatti nel suo ambito anche le organizzazioni con sede al di fuori dell’UE, purché svolgano attività all’interno di uno o più Stati membri.
Di seguito un elenco delle responsabilità del registrar TLD in base a quanto stabilito dalla NIS2 e, precisamente:
- Registrazione accurata dei dati e due diligence – I registrar devono assicurare che i dati di registrazione dei domini siano completi e accurati, includendo il nome del dominio, la data di registrazione, il nome e i dati di contatto del titolare, e se applicabile, quelli della persona di contatto. Inoltre, devono implementare le migliori pratiche di procedure di verifica che possono includere controlli ex ante effettuati al momento della registrazione e controlli ex post effettuati dopo la registrazione. Inoltre, la raccolta e la conservazione di questi dati devono essere effettuate con la dovuta diligenza, garantendo il rispetto delle leggi dell’Unione sulla protezione dei dati, in particolare per quanto riguarda i dati personali. Tali dati devono essere conservati in un database dedicato.
- Richieste di divulgazione – I registrar TLD dovranno fornire, ai richiedenti di accesso legittimi, i dati di registrazione, compresi i dati personali, entro 72 ore da una richiesta debitamente giustificata. Le politiche e le procedure per la gestione di tali richieste devono tenere conto sia della conformità NIS2 sia del GDPR e devono essere rese pubbliche.
- Sicurezza della catena di fornitura – I registrar devono valutare i rischi posti dai loro fornitori, inclusi i fornitori di servizi DNS, e garantire che i requisiti di sicurezza siano integrati nei contratti.
- Gestione degli incidenti – I registrar devono avere procedure in atto per la gestione e la notifica degli incidenti di sicurezza, coordinandosi con le autorità competenti.
- Cooperazione con le autorità – I registrar devono cooperare con le autorità competenti, fornendo dati e informazioni quando richiesto, in conformità con le normative sulla protezione dei dati. Inoltre, essi potrebbero dover implementare whitelist di domini, per prevenire la registrazione di nomi che potrebbero essere utilizzati per attività dannose, e assicurare che i dati non siano utilizzati per fini illeciti.
Requisiti NIS2 per il Registrar TLD
La Direttiva NIS 2 impone ai registrar TLD l’implementazione di specifiche misure di cybersicurezza e, precisamente:
- Valutazione del rischio – I registrar devono valutare i rischi per la sicurezza informatica e adottare misure per mitigare tali rischi.
- Gestione degli incidenti – È necessario disporre di procedure per la gestione degli incidenti, inclusa la notifica alle autorità competenti.
- Formazione e consapevolezza – La formazione del personale sulla sicurezza informatica è fondamentale per prevenire incidenti. A tal proposito sono stati istituiti in Italia i corsi di formazione per i Registrar in materia di cybersecurity in collaborazione con il Cybersecurity Lab del Cini.
- Sicurezza della catena di fornitura – I registrar devono estendere le misure di sicurezza anche ai loro fornitori, in particolare quelli che forniscono servizi DNS.
- Autenticazione a più fattori e crittografia- L’uso di autenticazione a più fattori e altre misure di sicurezza per proteggere i sistemi e i dati è raccomandato.
- Monitoraggio e risposta agli incidenti – I registrar devono monitorare continuamente i loro sistemi per rilevare e rispondere agli incidenti di sicurezza.
- Responsabilità del top management – La dirigenza deve essere coinvolta nella definizione e nell’applicazione delle misure di sicurezza, e deve essere responsabile della loro efficacia.
Cosa cambia per i registrar TLD
La Direttiva NIS 2 segna un cambio di paradigmi nel modo in cui i registrar TLD devono approcciare la cybersicurezza. Non si tratta più di una questione meramente tecnica, ma di un elemento strategico che richiede investimenti significativi, cambiamenti organizzativi profondi e una visione a lungo termine in termini di resilienza e nella sostenibilità del business.
